病毒又来了！MSN 其实这个病毒是有MSN的用户来运行的。当然是在不知道的情况下。
思科也有人中招，其实只要招IT部门帮助清除这个病毒，问题还是好解决的。但是有人自己删除了这个病毒程序，造成windows 系统起不来了，PC没法用了。只好等着IT修机器或重装系统。耽误时间和工作。
上一次，我记得一个蠕虫程序是由 email 传播的，是假冒 Administrator , 通知客户修改密码，也是一个exe 程序。而我们的一位资深的SE就不幸中招，也是PC机不能启动了。
我早说过，email 今后是一个病毒传播的重要手段，而今 MSN也成了更方便的工具，但今天病毒的编写者利用的就是人们善良的心。一般，朋友、亲人，同事，同学传来的好听好玩的东西，人们一般是不太怀疑的。
以前的病毒利用操作系统的漏洞，自动在网络上传播，而今天，大量的病毒要利用人的操作。不要轻易运行别人送来的程序！！ 但是，对于广大Internet 用户来说，有多少人知道"*.exe"是什么东西呢？
我了解了一下MSN病毒的原理，
1、将自身拷贝为：
%SystemRoot%\rundll32.exe
%SystemRoot%\system32\IEXPLORE.EXE
%SystemRoot%\system32\explorer.exe
%SystemRoot%\system32\userinit32.exe

2、修改注册表，将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的“Userinit”修改为指向%SystemRoot%\system32\ userinit32.exe。在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run中添加运行%SystemRoot%\rundll32.exe的项。

3、修改%system32%\drivers\etc\hosts文件，将大量域名指向222.89.98.219，这样，用户访问这些域名的时候，实际访问的是222.89.98.219。

4、蠕虫会同时运行自身的多个拷贝，如果其中一个进程被中止，则其余进程会立即将它再运行。

5、如果系统运行了QQ或者MSN Messenger，蠕虫会向每一个联系人发送一条消息，包括一句话和一个指向http://www.78p.com/的链接，并试图将自身以文件“funny.exe”传输。

－－－－－－－－－－

所以，按CSA说的，应该可以防住这个简单的病毒程序，因为有程序要修改 注册表的化，CSA是要报警的，可能会阻止掉！应该不需要IT修改Policy??但是，我的朋友说CSA也装了，但没起作用。我说不好，可能吧。但是， 从原理上讲，CSA 完全可以把这中病毒抑制住。